Intel poskušal podkupiti nizozemsko univerzo, da bi zatiral znanje o ranljivosti MDS



Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Intelov program varovanja ranljivosti je zajet v pogodbah CYA, katerih namen je zmanjšati Intelove izgube zaradi odkritja nove ranljivosti. Po njegovih pogojih, ko odkritelj sprejme nagrado za nagrado, sklene NDA (pogodbo o razkritju) z Intelom, da ne bo razkril svojih ugotovitev ali v zvezi s tem sporočil nobeni drugi osebi ali subjektu, kot z določenimi pooblaščenimi osebami pri Intelu. Z zadržanim javnim znanjem lahko Intel deluje na blažitev in popravke proti ranljivosti. Intel trdi, da bi informacije o ranljivostih, ki so postale javne, še preden bi se jih lahko lotili, dali negativcem čas za oblikovanje in širjenje zlonamerne programske opreme, ki izkorišča ranljivost. To je argument, ki ga ljudje v VU niso bili pripravljeni kupiti, zato je Intel prisiljen razkriti RIDL, tudi ko posodobitve mikro kod, posodobitve programske opreme in zakrpane strojne opreme šele začenjajo izhajati.
Posodobitev: (17. 5.): Predstavnik podjetja Intel je to zgodbo komentiral.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)